Hallo,

In diesem Ansatz hast du einen schwerwiegenden gedanklichen Fehler:

Ja, das ist mir jetzt auch klar.

... oder mit einem Session-Management sicherzustellen, dass nur derjenige die zip-Archive herunterladen darf, wer zuvor deine Seite abgerufen hat.

Ich versuch' mal, meine Gedanken zu ordnen:
Um deep links zu unterbinden, müsste ich in jedem Fall zuerst per
Deny from all
alle direkten Aufrufe der URL verbieten.
Dann hat nur noch PHP Zugriff (richtig?)
Aber wie geht es dann weiter? Wie kann Session Management mir weiterhelfen?

Gruß Fritz